Windows Server 2008晋升AD管理效率[Windows安全]

　　AD从Server 2003迁移到Server 2008后,带来的不但仅是性能上的晋升,对管理者来说最享用的是管理与保护中的便捷与高效.Server 2008潜力无限,下面笔者与大家分享3个可晋升AD管理效率与安全的本领.

　　1、不重启DC快速进入AD脱机情势

　　做过AD(活动目录)的人都知道,基于Windows Server 2000/2003的DC(域掌握器)假如要脱机保护AD就必须重启DC然后进入AD的复原情势才可以.这样做其弊端是显而易见的,AD下的诸如RIS服务、文件服务、打印服务等城市遭到影响而不能运行.在Windows Server 2008中我们可以不需重新启动DC便可以终止AD服务,进而履行只有在AD脱机脱机状况下才可履行的操作,而对其他服务没有任何影响.

　　Windows Server 2008中终止AD服务和终止其他任何服务一样,在号令行(cmd)下履行“net stop ntds”便可终止与AD服务,当然也会终止与AD相关的服务诸如:文件复制服务、站点间通信、DNS 服务器等,但对整个服务器的影响不大,至少比重启DC要迅捷快速得多.(图1)

　　图1 Windows Server 2008中终止AD服务

　　AD服务终止后我们便可以履行某些只能在脱机情势下才能举行的操作,比方运行ntdsutil号令对AD数据库举行完好性考证、碎片整理,用copy号令移动数据,用del号令排除日记等操作了.等脱机保护任务完成后,我们只需在号令行中履行“net start ntds”,AD服务又重新启动,能否很快速呢?(图2)

　　图2运行ntdsutil号令对AD数据库举行完好性考证

　　2、快速找到并恢复某个AD备份

　　大家知道在基于Windows Server 2000/2003的DC中,假如要恢复某个AD备份需求从多个备份中挑推举行恢复,常常我们需求反复尝试多次才能实现我们所需求的恢复.在Server 2008中操纵AD的DMT(AD数据库管理工具)工具就非常便利地利于我们查看备份的时间段,并机动地挑选所要恢复到的时间段.下面我们以AD数据库快照的情势举行查看和演示.

　　(1).成立快照

　　我们需求用到Ntdsutil.exe号令,这是一个为AD供应管理设备的号令行工具,它可以履行AD数据库的保护,管理和掌握单个主机操作,成立利用程序目录分区,以及删除DC中残留的元数据.在号令行下履行Ntdsutil.exe,按照号令提醒在ntdsutil后输入snapshot申明快照,在快照后输入activate instance ntds成立的活动实例为ntds,在快照后输入create成立快照,稍等半晌成功成立快照集{c94362d1-1bc9-4bc7-8af7-7cc716208296},这是一个32位的辨认码,是随机的且具有唯一性.(图3)

　　图3 snapshot申明快照

　　(2).加载快照

　　持续在上面的号令提醒符下输入mount {c94362d1-1bc9-4bc7-8af7-7cc716208296}装载方才成立的快照,提醒{c94362d1-1bc9-4bc7-8af7-7cc716208296}已作为 C:\$SNAP_200801141137_VOLUMEC$\装载.此时不要关闭该号令行,然后再翻开一个号令行(cmd)输入输入dsamain -dbpath C:\$SNAP_200801141137_VOLUMEC$\windows\ntds\ntds.dit -ldapport 33890加载只读数据库的快照,33890为加载的端口号.(图4)

　　图4 加载快照

　　(3).查看AD实例

　　履行“开始→管理工具→Active Directory 用户和计算机”,在DC域上点击右键挑选“更改域掌握器”翻开“更改目录服务器”对话框,点选“此域掌握器或 AD LDS实例”,可以看到当前AD的实例的状况,我们可以使得方才成立的快照实例,只需输入近似“DC:端口”(本例为fr.zhongtian.com:3382)便可.(图5)

　　图5 AD的实例的状况

　　(4).删除快照

　　运行号令提醒符工具,输入ntdsutil进入号令行,输入snapshot进入快照操作,输入list mounted可以查看方才

　　成立的快照,然后通过delete删除快照.(图6)

　　图6 删除快照

　　3、用考核战略加强AD管理

　　我们知道在Windows Server 2008从前的Sever版本中当AC启用审计战略后,会产生大量的事件日记造成DC性能的降低和磁盘空间的负担,并且,也不能记录某个属性更改前后的值.二Server 2008的的考核战略非常强盛,分外是针对AD做了很多优化和扩大,其审计更为具体.

　　笔者认为关于AD,Server 2008的考核战略中针对事件记录,诸如切确记录属性改正前后的值、记录改正时间、记录改正者、记录改正对象这几项非常实用,有助于管理者对DC的安全管理和保护.下面我们结合实例演示一个新的考核战略的具体配置历程.

　　首先在号令行下输入号令“auditpol /set /subcategory:"directory service changes" /success:enable”以启用战略(提醒,上面的号令合适于英文版的Server 2008,假如你是中文版的可输入号令“AuditPol /set /subcategory:"目录服务更改" /success:enable“directory server changes”.假如还不可以的话,我们用32位ID来替换实例名.我们可以履行号令AuditPol /backup/file:c:\test.csv将考核战略保存为test.csv,然后用记事本翻开查看到与“目录服务更改”对应的ID,然后履行号令,比方AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable便可).然后输入号令gpupdage更新组战略.(图7)

　　图7 用考核战略加强AD管理

　　然后“开始→管理工具→Active Directory用户和计算机”翻开AD用户和计算机管理器,找到你需求启用考核战略的OU(组织单元)比方ctocio,右键单击挑选“属性”翻开其属性对话框,在“安全”标签下点击“高级”按钮在翻开的对话框中点击“考核”标签,点击下面的“增添”按钮输入Authenticated Users大概其他对对象然撤退回到考核项目窗口.在“利用到”下拉列表中挑选“后代 用户 对象”(大概其他),然后勾选“拜候”下的“写入全部属性”中的“成功”,最后顺次退出设置窗口.(图8)

　　图8 用考核项目

　　为了考证效果,我们在ctocio OU中成立一个用户,右键单击挑选“新建→用户”按照向导新建用户wf.然后“开始→管理工具→事件查看器”可在“安整日记”中看到与“目录服务更改”相关的内容,查看“具体信息”administrator用户在fr.zhongtian.com的DC的ctocio的OU中成立了wf用户.(图9)

　　图9 安全考核

　　总结:Active Directory作为微软在局域网与资源管理等方面的办理筹划,在Windows Server 2008中其优胜性得到进一步的表现.分外值得一提的是微软对AD的证书服务举行了重新计划,它与组战略设置密切配合,供应更简单的证书注册、发现和存储.作为一款对比新的服务器平台,Server 2008还有很多新的功效与本领等候我们去操纵和发掘.